Gerenciar políticas de acesso

É possível definir ou receber o gerenciamento de identidade e acesso (IAM), ou o controle de acesso, a política de um ou mais testes de conectividade. Além disso, você pode ver as permissões que uma conta de usuário ou de serviço possui para um teste de conectividade específico.

Este documento mostra exemplos de controle de acesso que usam a API Network Management. Para seguir essas etapas no Console do Google Cloud ou usando comandos gcloud, consulte os guias de instruções do IAM.

Para informações sobre vinculações de política e ETags listadas nos comandos a seguir, consulte a referência da API sobre as políticas do IAM.

Para informações sobre os papéis e as permissões do IAM necessários para executar os Testes de conectividade, consulte Atribuir acesso.

Definir uma política de controle de acesso

Este procedimento define a política de controle de acesso no recurso de testes de conectividade especificado.

API

Use o método networkmanagement.connectivitytests.setIamPolicy para definir a política de controle de acesso para USER, ROLE e TEST_ID.

O exemplo a seguir define uma política que vincula a função de networkmanagement.admin a username@yourcompany.com para mytest-1.

 POST https: //networkmanagement.googleapis.com/v1/{resource=projects/*/locations/global/connectivityTests/TEST_ID}:setIamPolicy
   {
     "version": "VERSION",
     "etag": "ETAG",
     "bindings": [{
       "role": "ROLE",
       "members": [
         "PRINCIPAL"
       ]
     }]
   }

Substitua os seguintes valores:

  • TEST_ID: o ID do objeto de testes de conectividade (teste) que você está executando
  • VERSION: especifica o formato da política. Os valores válidos são 0 . 1 e 3. Qualquer operação que afete as vinculações condicionais do papel precisa especificar a versão 3
  • ETAG: usado para controle de simultaneidade otimista como uma maneira de impedir que atualizações simultâneas de uma política substituam-se mutuamente (um exemplo de etag é BwWbrqiZFRs=)
  • ROLE: um papel atribuído aos principais (por exemplo, roles/networkmanagement.admin)
  • PRINCIPAL: especifica as identidades que solicitam acesso a um recurso do Google Cloud (por exemplo, user:username@yourcompany.com). Para uma lista de tipos de membros ou principais consulte a referência da API para políticas do IAM

Acessar uma política de controle de acesso

Este procedimento recebe a política de controle de acesso para o recurso de testes de conectividade especificado.

API

Use o método networkmanagement.connectivitytests.getIamPolicy para definir a política de controle de acesso para PRINCIPAL, ROLE e TEST_ID.

O exemplo a seguir obtém uma política que vincula a função de networkmanagement.admin a username@yourcompany.com para mytest-1.

  GET https: //networkmanagement.googleapis.com/v1/{resource=projects/*/locations/global/connectivityTests/TEST_ID}:getIamPolicy
    {
      "version": "VERSION",
      "etag": "ETAG",
      "bindings": [{
        "role": "ROLE",
        "members": [
          "PRINCIPAL"
        ]
      }]
    }

Substitua os seguintes valores:

  • TEST_ID: o ID do objeto de testes de conectividade (teste) que você está executando
  • VERSION: especifica o formato da política. Os valores válidos são 0 . 1 e 3. Qualquer operação que afete as vinculações condicionais do papel precisa especificar a versão 3
  • ETAG: usado para controle de simultaneidade otimista como uma maneira de ajudar a impedir que atualizações simultâneas de uma política substituam-se mutuamente (um exemplo de etag é BwWbrqiZFRs=)
  • ROLE: um papel atribuído aos principais (por exemplo, roles/networkmanagement.admin)
  • PRINCIPAL: especifica as identidades que solicitam acesso a um recurso do Google Cloud (por exemplo, user:username@yourcompany.com). Para uma lista de tipos de membros ou principais consulte a referência da API para políticas do IAM

Testar permissões de IAM

Neste procedimento, são retornadas as permissões de uma conta de usuário ou de serviço para um recurso de testes de conectividade.

API

Use o método networkmanagement.connectivitytests.testIamPermissions para retornar as permissões atribuídas a TEST_ID.

O exemplo a seguir verifica se username@yourcompany.com tem a permissão networkmanagement.connectivitytests.get para mytest-1.

  POST https://networkmanagement.googleapis.com/v1/{resource=projects/*/locations/global/connectivityTests/TEST_ID}:testIamPermissions
    {
      "permissions": [
        "networkmanagement.connectivitytests.get"
      ]
    }

Substitua TEST_ID pelo ID do objeto de testes de conectividade (teste) que você está executando.

A seguir